Kyverno & Kyverno Policies

Kyverno — это приложение для управления политиками безопасности Kubernetes. Политики безопасности представлены в Kyverno как ресурсы Kubernetes.
Kyverno поддерживает такие инструменты, как kubectl, git и kustomize. Интерфейс командной строки Kyverno можно использовать для тестирования политик и проверки ресурсов как часть конвейера CI/CD.

Kyverno-policies — это расширение для Kyverno.
Kyverno-policies содержит реализацию Kubernetes Pod Security Standards (PSS). При установке расширения можно выбрать режим работы политик: audit (только оповещение) или enforce (блокировка). Оригиналы политик загружены в отдельный репозиторий Kyverno-policies.

Отправлять оповещения из Kyverno в другие системы можно с помощью расширения kyverno-policy-reporter. Kyverno-policy-reporter поддерживает выгрузку в Yandex Object Storage (s3).

1. Создайте группу узлов для Kyverno.
2. Задайте настройки приложения:
   • Пространство имен — выберите пространство имен или создайте новое. В нем не должны находиться какие-либо приложения или объекты, иначе Kyverno будет работать некорректно.
   • Название приложения — укажите название приложения.
   • Включение Kyverno policies — выберите для автоматической установки расширения kyverno-policies в Kyverno.
   • Pod Security Standard profile — выберите профиль Pod Security Standard: baseline, restricted или privileged. Если поле не заполнено, по умолчанию будет установлено значение baseline.
   • Validation failure action — выберите способ реагирования на срабатывания Kyverno: audit (режим оповещения) или enforce (режим блокировки). Если поле не заполнено, по умолчанию будет установлено значение audit.
3. Нажмите кнопку Установить.
4. Дождитесь перехода приложения в статус Deployed.

Подробнее о том, как отслеживать срабатывания Kyverno, читайте в инструкции.

Если приложение вам больше не нужно, удалите его. После этого очистите конфигурации веб-хуков приложения, иначе кластер будет работать некорректно.

• Управление конфигурациями среды независимо от конфигураций рабочей нагрузки.
• Сканирование существующих рабочих нагрузок для оптимизации работы кластеров Kubernetes.
• Блокирование или изменение запросов API для оптимизации работы кластеров Kubernetes.
• Проверка, изменение и генерация ресурсов Kubernetes.
• Обеспечение безопасности цепочки поставок образов OCI.

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.